Departament Sprawiedliwości Stanów Zjednoczonych (DOJ) oraz Microsoft przeprowadzili operację, której celem było zablokowanie infrastruktury cyberataków powiązanej z rosyjską Federalną Służbą Bezpieczeństwa (FSB). Wspólnym wysiłkiem zdołano przejąć ponad 100 domen internetowych wykorzystywanych przez grupę hakerów ColdRiver (znaną również jako Star Blizzard, Callisto Group lub Seaborgium). Grupa wykorzystywała infrastrukturę do przeprowadzania ataków typu spear-phishing na pracowników rządu Stanów Zjednoczonych i organizacje non-profit na całym świecie.

Powiązana z rosyjskimi służbami specjalnymi ColdRiver atakowała różne cele, w tym firmy z siedzibą w Stanach Zjednoczonych, byłych i obecnych pracowników społeczności wywiadowczej USA, Departamentu Obrony, Departamentu Stanu oraz kontrahentów wojskowych. W okresie od stycznia 2023 do sierpnia 2024 roku grupa skierowała swoje ataki na ponad 30 organizacji społeczeństwa obywatelskiego, takich jak dziennikarze, think tanki i organizacje pozarządowe, których działalność jest kluczowa dla demokracji.

Podczas operacji Microsoft i DOJ przejęły łącznie 107 domen wykorzystywanych przez hakerów ColdRiver do prowadzenia ataków. Działania te były odpowiedzią na szereg ataków phishingowych i prób wyłudzenia danych wrażliwych od pracowników rządu i organizacji. Wcześniej grupa ta atakowała m.in. rządowe cele w Stanach Zjednoczonych, Wielkiej Brytanii, Ukrainie i innych krajach NATO.

Grupa ColdRiver działa od co najmniej 2017 roku i jest znana ze stosowania zaawansowanych technik socjotechnicznych oraz zbierania informacji z otwartych źródeł. Jej działania nasiliły się po inwazji Rosji na Ukrainę w 2022 roku, kiedy zaczęła atakować cele przemysłu obronnego oraz obiekty Departamentu Energii USA.

J-J